URL 기반 API 키 제한 : 유효성 검사는 어떻게 작동합니까?

Question

Google에서 Google지도 서비스를 보호하기 위해 URL 기반 API 키 제한이 작동하는 방식을 알고 싶습니다.

이 기사에서 이해할 수있는 부분은 "Restricting Access to Ajax Services"입니다. 첫 번째로 서비스는 단방향 해시 기능을 사용하여 특정 도메인에 대한 특정 키를 만듭니다. 두 번째는 Referer 헤더를 기반으로 키의 유효성을 검사하는 서비스입니다.

이 기사는 매우 설명하기는하지만 유효성 검사 방법이 얼마나 안전한지를 이해하려고해도 여전히 문제가 있습니다. 키가 리퍼러에 대해서만 점검된다면 위조하기가 쉽지 않은가? 호스트 파일에있는 단순한 "127.0.0.1 www.mydomain.com"이 유효성 검사를 속일 수 있다고 생각하고 referer가 www.mydomain.com이라고 생각합니다.

일부 사항을 잘못 이해했을 수 있으며 몇 가지 설명을 이해할 수 있습니다.

Answer 1

특별히 언급 한 기사의 "제한"섹션에는 리퍼러를 위장 할 가능성이 언급되어 있습니다.

에서 사이트에 액세스 할 때만 호스트 파일을 변경하면 실제로 리퍼러를 위조하는 데 충분할 수 있습니다. 즉, 로컬에서 테스트 할 때만 라이센스를 남용 할 수 있습니다. 그것은 매우 흥미로운 학대가 아닙니다.

앱을 게시하려면 로컬에서 실행되는 실행 파일의 API를 사용하지 않는 한 브라우저의 에있는 리퍼러를 위장해야합니다.이 경우 사용자는 모든 브라우저를 완벽하게 제어 할 수 있습니다. 헤더.